Siirry pääsisältöön
  • Tee tilauksia nopeasti ja helposti
  • Tarkastele tilauksia ja seuraa lähetyksen tilaa
  • Luo tuoteluettelo ja käytä sitä

Miglioramenti delle VM schermate in Windows Server 2019

Yhteenveto: Miglioramenti delle VM schermate

Tämä artikkeli koskee tuotetta Tämä artikkeli ei koske tuotetta Tämä artikkeli ei liity tiettyyn tuotteeseen. Tässä artikkelissa ei yksilöidä kaikkia tuoteversioita.

Oireet


La VM protetta è un'esclusiva funzionalità di protezione introdotta da Microsoft in Windows Server 2016 e ha subito numerosi miglioramenti nell'edizione Windows Server 2019. Questo blog mira principalmente a richiamare i miglioramenti della funzione.

Per l'introduzione di base alla funzione e la procedura dettagliata per la distribuzione, fare riferimento ai seguenti link:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Modalità attestazione

La funzionalità inizialmente supportava due modalità di attestazione: l'attestazione basata su Active Directory e l'attestazione basata su TPM. L'attestazione basata su TPM fornisce protezioni di sicurezza avanzate in quanto utilizza il TPM come radice di affidabilità dell'hardware e supporta l'avvio misurato e l'integrità del codice.

L'attestazione della modalità chiave è la nuova aggiunta, supportando l'attestazione basata su AD (che è ancora presente, ma deprecata da Windows Server 2019 in poi). Il seguente link contiene le informazioni per configurare il nodo HGS (Servizio Host Guardian) utilizzando l'attestazione della modalità chiave. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default L'attestazione della modalità chiave è preferibile o utilizzata negli scenari in cui l'hardware TPM non è disponibile per l'utilizzo. È più facile da configurare, ma anche in questo caso comporta una serie di rischi per la sicurezza in quanto non comporta una radice di affidabilità dell'hardware.

Funzionalità di backup HGS

Poiché il cluster HGS è un elemento critico nella soluzione di VM protetta, Microsoft ha fornito un miglioramento per integrare facilmente un backup per gli URL HGS in modo che, anche se il server HGS primario non risponde, gli host con protezione Hyper-V siano in grado di testare e avviare le VM protette senza downtime. Ciò richiede la configurazione di due server HGS, con le VM certificate in modo indipendente con entrambi i server durante il deployment. I seguenti comandi vengono utilizzati per consentire alle VM di essere certificate da entrambi i cluster HGS.

 

# Sostituire https://hgs.primary.com e https://hgs.backup.com con i nomi di dominio e i protocolli

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Affinché l'host Hyper-V superi l'attestazione con entrambi i server primario e di fallback, è necessario assicurarsi che le informazioni sull'attestazione siano aggiornate con entrambi i cluster HGS.

Modalità offline

Anche in questo caso si tratta di una modalità speciale introdotta da Microsoft che consente alle VM schermate di accendersi anche quando il nodo HGS non è raggiungibile. Per abilitare questa modalità per le VM, è necessario eseguire il seguente comando sul nodo HGS:

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching

Una volta completata questa operazione, è necessario riavviare tutte le virtual machine per abilitare la protezione con chiave cache per le macchine virtuali.

Nota:  Eventuali modifiche alla configurazione della sicurezza sul computer locale causeranno l'in invalidazione di questa modalità offline. Le VM dovranno attestare con il server HGS prima di riattivare la modalità offline.

VM protetta da Linux

Microsoft ha inoltre esteso il supporto per l'hosting delle VM con Linux come sistema operativo guest. Per ulteriori informazioni sul tipo e sulla versione del sistema operativo che è possibile utilizzare, consultare il seguente link.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Linee guida importanti

Quando si implementano VM schermate, è necessario seguire alcune importanti linee guida:

  1. Durante l'esecuzione dell'aggiornamento da Windows Server 2016 a Windows Server 2019, è necessario cancellare tutte le configurazioni di sicurezza e applicarle nuovamente dopo l'aggiornamento sull'HGS e sugli host di protezione affinché la soluzione funzioni in maniera trasparente.
  2. I dischi dei template possono essere utilizzati solo con il processo di provisioning protetto delle VM. Il tentativo di avviare una normale macchina virtuale (non schermata) utilizzando un disco template comporterà probabilmente un errore di arresto (schermata blu) e non sarà supportato.

Supporto DELL

Tutte le opzioni di WS2016 e 2019 sono supportate sui sistemi Dell PowerEdge 13 e 14G. Per la massima sicurezza, è consigliabile utilizzare l'attestazione basata su TPM insieme a un TPM 2.0.


Questo blog è stato scritto dagli ingegneri Dell Pavan Kumar, Vihub Patkar e Shubhra Rana

Syy

 

Tarkkuus

 
Artikkelin ominaisuudet
Artikkelin numero: 000175495
Artikkelin tyyppi: Solution
Viimeksi muutettu: 19 heinäk. 2024
Versio:  6
Etsi vastauksia kysymyksiisi muilta Dell-käyttäjiltä
Tukipalvelut
Tarkista, kuuluuko laitteesi tukipalveluiden piiriin.